Mybatis的三种SQL注入解决方案

最新推荐文章于 2024-05-13 10:20:46 发布
最新推荐文章于 2024-05-13 10:20:46 发布
阅读量4.0k 收藏 7
点赞数 2
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dh753655485/article/details/116752330
版权

Mybatis的三种SQL注入解决方案

前言

SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。

新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。

Mybatis的SQL注入

Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。

Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成。编写xml文件时,Mybatis支持两种参数符号,一种是#,另一种是$。比如:

<select id="queryAll"  resultMap="resultMap">  SELECT * FROM NEWS WHERE ID = #{id}</select>

使用预编译,$使用拼接SQL。

Mybatis框架下易产生SQL注入漏洞的情况主要分为以下三种:

模糊查询

Select * from news where title like ‘%#{title}%

在这种情况下使用#程序会报错,新手程序员就把#号改成了$,这样如果java代码层面没有对用户输入的内容做处理势必会产生SQL注入漏洞。

正确写法:

select * from news where tile like concat(%,#{title},%)

in 之后的多个参数

in之后多个id查询时使用# 同样会报错,

Select * from news where id in (#{ids})

正确用法为使用foreach,而不是将#替换为$

id in<foreach collection="ids" item="item" open="("separatosr="," close=")">#{ids} </foreach>

order by 之后

这种场景应当在Java层面做映射,设置一个字段/表名数组,仅允许用户传入索引值。这样保证传入的字段或者表名都在白名单里面。需要注意的是在mybatis-generator自动生成的SQL语句中,order by使用的也是$,而like和in没有问题。

二八开
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MyBatis使用${}时动态表名或动态排序为什么会被注入攻击?是怎么实现的注入的,代码中要如何防范这种动态sql注入
eguid音视频技术分享(JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程)
03-14 336
MyBatis 中,如果动态查询 SQL 语句是像这样使用字符串拼接的方式来构建,其中的是动态传入的表名参数,存在被注入的安全风险。这种情况下,恶意用户可以通过构造特定的输入来注入恶意代码,从而执行未经授权的数据库操作。具体来说,当用户能够控制动态 SQL 中的参数,并且这些参数没有经过正确的验证和处理时,就会存在注入风险。如果参数直接从用户输入获取并拼接到 SQL 语句中,恶意用户可以通过在输入中添加 SQL 注入语句来改变 SQL 的逻辑,可能导致数据泄露、数据篡改或数据损失等危害。
Mybatis 框架下 SQL 注入攻击的 3 种方式,真是防不胜防!
勇往直前的专栏
07-08 797
本文授权转载请注明来自FreeBuf.COM 链接:https://www.freebuf.com/vuls/240578.html 前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。 新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。 一、MybatisSQL注入 MybatisSQL语句可以基于注解的方
【安全】mybatis中#{}和${}导致sql注入问题及解决办法_${
最新发布
2401_84972830的博客
05-13 677
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
MybatisSQL注入隐患操作复现&防止SQL注入
qq_35614522的博客
07-21 2118
很多人都知道SQL存在SQL注入引起的安全问题,但是很少有开发者去尝试过是怎样一个注入,本文将复现MybatisSQL注入问题并给出正确操作。
mybaits如何防止SQL注入mybatis的${}和#{}
FeiChangWuRao的博客
08-16 2194
其实这个mybatis的${}和#{}区别和使用,算是很古早很常见的一个基础问题了? 先说结论:尽可能使用#,不使用$,因为#可以防止SQL注入。 如果记不清楚,就记一句话或者是口诀:不是所有事都能靠钱能解决($号是货币符号) 为什么#可以防止SQL注入? #{} 占位符,${} 拼接符 #占位符对应的SQL是占位作用的,也就是形成的SQL对应的位置会用引号括起来,对于SQL来说就是一个参数而已。 $它是拼接符号,不是引号括起来的,它对应一串字符是可以与SQL拼在一起的,相当于成为SQL的一部分,这就很危险
mybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
热门推荐
yump的博客笔记
09-29 2万+
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected 'EOF', got '#' at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。 一、mybatis的两种传参方式#{}和${} 1. #传参 1.1 # 是通过prepareStatement的预编译的,会对自动传入的数据加
Mybatis中会引起sql注入风险的问题
flytalei的博客
06-12 2099
该风险漏洞是我驻场的公司(ciccwm)在一次安全漏铜检查中提出,我在此作为引用,特此声明。
mybatissql_mybatis解决sql注入
12-22
标题 "mybatissql_mybatis解决sql注入" 暗示了我们正在讨论MyBatis框架如何处理SQL注入问题。SQL注入是一种常见的安全漏洞,攻击者可以通过恶意输入篡改SQL查询,获取、修改或删除数据库中的敏感数据。MyBatis,作为...
Security_By_Default:MyBatis框架下SQL注入解决方案.pdf
08-11
背景与现状 初阶安全实践 最佳安全实践:Security By Default
SQL注入漏洞过程实例及解决方案
09-08
本文将深入探讨SQL注入漏洞的过程,并提供具体的解决方案。 首先,让我们理解SQL注入漏洞是如何发生的。在上述代码示例中,`login`方法使用字符串拼接的方式构建SQL查询语句,如下所示: ```java String sql=...
防止sql注入解决方案
12-07
SQL注入是一种常见的网络安全威胁,它允许攻击者通过输入恶意的SQL代码来操纵数据库,获取、修改或删除敏感数据。为了防止SQL注入,开发者需要采取一系列的预防措施,确保应用程序的安全性。以下是一些核心的解决...
SQL注入原理与解决方法代码示例
09-09
SQL注入是一种严重的网络安全威胁,它发生在应用程序处理用户输入的数据时不恰当地构建SQL查询时。攻击者可以通过在输入字段中插入恶意SQL代码,欺骗服务器执行非预期的数据库操作,从而获取敏感信息、修改或删除...
MyBatis构建sql动态传入表名以及字段名
stay hungry ! stay foolish!
02-21 1006
MyBatis构建sql动态传入表名以及字段名转载:http://wendy-wxie.iteye.com/blog/1605193MyBatis动态传入表名,字段名的解决办法转载:http://luoyu-ds.iteye.com/blog/1517607用了mybatis很长一段时间了,但是感觉用的都是比较基本的功能,很多mybatis相对ibatis的新功能都没怎么用过。比如其内置的注解...
JDBC:使用PreparedStatement防止SQL注入
javy_codercoder的博客
10-20 1万+
1.关于SQL注入 什么是SQL注入: 由于jdbc程序在执行的过程中sql语句在拼装时使用了由页面传入参数,如果用户恶意传入一些sql中的特殊关键字,会导致sql语句意义发生变化,这种攻击方式就叫做sql注入,参考用户注册登录案例。   首先看一下以下代码: String sql = "select* from users where username='" + userName
Mybatis 框架下易产生 SQL 注入漏洞的三种情况
SuZhan0711
09-27 1200
这种场景应当在 Java 层面做映射,设置一个字段/表名数组,仅允许用户传入索引值。这样保证传入的字段或者表名都在白名单里面。需要注意的是在 mybatis-generator 自动生成的 SQL 语句中,order by 使用的也是 $,而 like 和 in 没有问题。这样如果 Java 代码层面没有对用户输入的内容做处理势必会产生 SQL 注入漏洞。在这种情况下使用「#」 程序会报错,新手程序员就把「#」 号改成了「$」
Mybatis框架下SQL注入漏洞处理
aosica321的专栏
02-23 1万+
来源:http://www.open-open.com/lib/view/open1474963603800.html            http://mp.weixin.qq.com/s?__biz=MjM5OTk2MTMxOQ==&mid=2727827368&idx=1&sn=765d0835f0069b5145523c31e8229850&mpshare=1&scene=1&srci
mybatis防止sql注入
u012406790的专栏
09-15 511
1、#{}和${}的区别: (1)#{} select id,name from user where id=#{id} 打印的sql语句为: select id,name from user where id=? (2)${} select id,name from user where id=${id} 如果id值为8,打印的语句为: select id,nam
解决mybatis使用${}时sql注入的问题
qq_37048804的博客
08-14 8290
最近在上线项目的时候,代码审查没有通过,提示有sql注入的风险。 ORDER BY ${orderBy} 很简单的一个排序字段,但是因为使用 ${} 占位符的原因,有sql注入的风险,相信大家平时也经常会使用这个占位符,不知道有没有考虑sql注入的问题,下面简单介绍下 #{} 和 ${} 的区别以及为什么使用 ${} 会有sql注入的问题。 区别 #{}是一个参数占位符,对于String类型会...
mybatis 动态更换表名,用以动态访问不同表的数据(#{} 、${})
qinyi8888的博客
02-18 2909
原文地址:https://blog.csdn.net/qq_25221835/article/details/86711987 贴个图片,方便查看重点: 或者: 看了上面,大家就应该要猜到我等下要说什么了,我再贴下我之前的问题代码: 错误代码一: 1.所有参数都用#{} 错误原因:错误的关键就在于#{table},其实本质还是#{}和${} 的区...
springboot sql 注入
05-10
Spring Boot 是基于 Spring 框架构建的,它可以通过自动配置和约定大于配置的方式来轻松创建独立的、生产级别的 Spring 应用程序。然而,Spring Boot 也存在 SQL 注入的风险,因此我们需要掌握相应的防范措施。 SQL 注入漏洞是指黑客利用合法的 SQL 查询接口,向应用程序的后台数据库发送针对数据库的攻击字符串,获取数据库的机密信息或通过修改数据库来破坏系统的安全性。在 Spring Boot 中,SQL 注入漏洞通常出现在动态拼接 SQL 语句的场景中,如使用 JdbcTemplate 进行数据库操作或通过 MyBatis 操作数据库时,如果不做正确的防范,就很容易发生 SQL 注入漏洞。 为了避免 SQL 注入漏洞的问题,我们可以采取以下措施: 1. 使用预处理语句:建议使用预处理语句,这样可以将传入的参数当做参数来处理,而不是当做 SQL 语句的一部分来处理。预处理语句可以有效地解决 SQL 注入问题,也可以提高应用程序的性能。 2. 使用参数中转:使用参数中转可以将直接拼接 SQL 语句的方式改为将参数值插入到预定义的 SQL 语句当中,从而避免 SQL 注入漏洞的风险。 3. 遵循安全编码规范:在进行开发工作时,应该遵循安全编码规范,对输入参数进行合理的检查和过滤,确保不会将恶意的输入传递给后台 SQL 语句。 总而言之,为了防范 SQL 注入漏洞,我们需要采取多种措施,如使用预处理语句、使用参数中转和遵循安全编码规范等,以确保应用程序的安全性。同时,开发人员也要不断学习新的安全技术和解决方案,提高系统的安全性和鲁棒性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值